Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Критическая уязвимость в Jenkins раскрывает конфиденциальную информацию

Jenkins, популярная программная система с открытым исходным кодом, уведомила всех о критической уязвимости в веб-сервере Jetty, которая может привести к повреждению памяти и раскрытию конфиденциальной информации.

Отслеживаемая под идентификатором CVE-2019-17638 брешь получила 9,4 балла из 10 по шкале CVSS. Она затрагивает Eclipse Jetty версий 9.4.27.v20200227-9.4.29.v20200521.

«Существующая уязвимость позволяет не прошедшим аутентификацию злоумышленникам получить заголовки HTTP. Таким образом, в руки атакующих может попасть конфиденциальная информация, отправленная другому пользователю», — объясняют разработчики в официальном заявлении.

Проблема безопасности, затрагивающая Jetty и Jenkins Core, судя по всему, появилась с выходом Jetty 9.4.27. Именно в этой версии разработчики добавили механизм для обработки больших HTTP-заголовков, чтобы пресечь переполнение буфера.

Однако вместо переполнения буфера авторы софта столкнулись с другой распространённой проблемой — повреждение памяти и раскрытие информации. После анализа уязвимости разработчики выпустили Jetty 9.4.30.v20200611, в которой данная брешь уже отсутствует.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ARZip прошел прожарку на AM Live+

84 % участников телешоу с техническим уклоном «Продать за 20 минут» конференции AM Live+ оказались готовы купить или тестировать ARZip. Это показали результаты интерактивного голосования среди его участников – руководителей департаментов информационной безопасности крупных российских компаний.

«Архиватор ARZip «родился» в процессе общения с клиентами, у которых была задача – «научить» DLP-системы автоматически проверять запароленные архивы – и предложили нам помочь ее решить», – рассказал коммерческий директор компании ARinteg Дмитрий Слободенюк, представляя свое решение.

ARZip уже успешно прошел первые интеграции, в частности, с DLP-системой InfoWatch Traffic Monitor. Последней он позволяет все 100% запароленных архивов открывать, изучать их содержание в автоматическом режиме и сразу блокировать отправку чувствительной для бизнеса информации.

Поскольку с ARZip DLP работает в разрыв, то подобные утечки просто исключены. Как результат: сотрудники службы ИБ освобождаются от проверки запароленных архивов, снижаются риски утечек данных и риски, свойственные человеческому фактору.

У коммерческого директора компании ARinteg Дмитрия Слободенюка было не больше 10 минут на то, чтобы представить ARZip, убедив аудиторию в его актуальности. И примерно столько же, чтобы ответить на каверзные вопросы из зала в рубрике с говорящим названием «Прожарка», и получить обратную связь.

Узнать, чем профессиональную аудиторию привлек ARZip, помимо того, что он мультиязычен, «знает», к примеру, арабский и у него четкое позиционирование: актуальная проблема и простое решение, можно из эфира AM Live+.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru